top of page

DPO – Perché dovrebbe avere competenze interdisciplinari

L’articolo 39 del GDPR riporta chiaramente i servizi minimi che deve svolgere il DPO:


· Sorvegliare l’osservanza del GDPR, nonché delle ulteriori normative sul trattamento dei dati personali;

· Provvedere alla formazione del titolare/responsabile del trattamento e del personale deputato al trattamento dei dati personali;

· Fornire un parere in merito alla Valutazione d’impatto sulla protezione dei dati ex art. 35 GDPR e sorvegliarne lo svolgimento;

· Fornire un parere in merito a ulteriori questioni di volta in volta poste alla sua attenzione da parte del titolare/responsabile;

· Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati e, ove necessario, effettuare consultazioni presso l’autorità garante;


Partendo da queste attività si è molto dibattuto sulle competenze che deve avere un DPO per poter tutelare al meglio il Titolare da eventuali scelte organizzative e tecniche.

Un punto focale è sempre stato se il DPO dovesse avere o meno competenze legali, informatiche, organizzative……


La soluzione migliore è sempre e solo una: un soggetto che abbia tutte queste competenze per il settore di mercato in questione ma come far combaciare i seguenti aspetti?


Competenze legali - Figura con spiccate conoscenze giuridiche e con conoscenza specialistica della normativa in materia di privacy e Data Protection italiana ed europea


Competenze informatiche - Conoscenza tecnica dei sistemi IT


Competenze organizzative - Conoscenza del settore in cui il DPO viene nominato e competenza in materia di procedure e regole di governo


Per poter assolvere agli obblighi derivanti dal GDPR, un DPO dovrà avere le capacità di:


· Delineare il contesto in cui opera il titolare;

· Creare e controllare la conformità del registro delle attività di trattamento;

· Verificare le attività di trattamento dei dati personali;

· Verificare i rischi posti dalle attività di trattamento;

· Gestire i trattamenti che possono comportare un rischio elevato;

· Gestire le violazioni dei dati personali;

· Indagare ad es. sui reclami interni.


Come è evidente una persona con skill focalizzati esclusivamente in ambito legal avrà notevoli problemi a capire come delineare il contesto e redigere correttamente un registro delle attività di trattamento, in quanto potrebbe avere difficoltà nella definizione del perimetro di intervento dovuto ad ogni specifica azienda e le sue regole interne di gestione.


Sarà necessario avere una competenza tecnica di IT per capire dove sono residenti i dati in quanto, nelle realtà di oggi, le aziende hanno la necessità di interagire continuamente con l’esterno e dotarsi di strutture tecnologiche sempre più evolute, anche nel caso di piccole imprese.

Adottando strutture cloud o sfruttando soluzioni SaaS, l’azienda allarga il proprio perimetro logico e tecnico per cui dovrà tenere conto di non potersi limitare a rendere efficace la struttura interna ma dovrà adottare misure organizzativo/tecniche di tutela anche per tutte quelle parti della struttura tecnologica aziendale “esterna”.


Come potrebbe essere possibile “verificare le attività di trattamento dei dati personali” se non si distingue un firewall da uno switch? Se non ci si pone il problema se una società esterna di hosting deve essere o meno nominata come responsabile esterna come possiamo tutelare il Titolare per eventuali perdite del dato da parte del service?


Allo stesso tempo, un’azienda è un organismo con vita propria che vive di regole autodeterminate e per essere sicuri che il processo di gestione delle violazioni o delle richieste circa i diritti degli interessati si deve avere una conoscenza anche di come funzionano le regole aziendali per poter progettare al meglio le misure organizzative.


Un caso pratico consiste nell’ipotesi di richiesta di esercizio di un diritto di cancellazione da parte di un interessato. Per assolvere a questo evento, dobbiamo progettare una serie di passaggi interni che permettano al Titolare di risalire ad ogni singolo dato dell’interessato seguendo i processi aziendali che, se non sono stati disegnati in precedenza, sono molto difficile da “vedere”.


Pensiamo ad una richiesta di cancellazione da parte di un ex dipendente, chi non conosce la “vita” aziendale potrebbe avere più difficoltà a capire che lo stesso dato è utilizzato da più parti. Dopo aver cancellato i dati presenti nel reparto Risorse Umane, ovviamente mantenendo quelli tutelanti per il Titolare sia per requisiti legislativi/fiscali sia per interessi legittimi dello stesso, il lavoro è finito? Ovviamente no!


Pensiamo ai dati che sono stati utilizzati dalla società esterna per la redazione delle buste paga, oppure al centralino telefonico che ha in memoria tutti i numeri privati dei dipendenti (argomento a sua volta degno di analisi), oppure l’account e-mail con tutta la posta elettronica del dipendente soggetta a backup.


Questa messe di dati è presente in ogni meandro aziendale e non aver presente come si “muove” il dato all’interno delle regole aziendali potrebbe essere pericoloso per il Titolare.


In estrema sintesi la soluzione migliore dovrebbe essere di incaricare un team specializzato multidisciplinare nelle 3 macro-aree fondamentali.


Nei prossimi articoli approfondiremo il ruolo del DPO integrato in sistemi di gestione presenti.


info@cartesiostudio.com per considerazioni, suggerimenti o assistenza qualificata per la tua impresa.

Comments


bottom of page